Slack macht die Teamnamen von Unternehmen für Außenstehende sichtbar, aber es ist eine Funktion und kein Fehler

Anonim

Es gibt heute ein wenig Geschwätz über eine offensichtliche Slack-Schwachstelle, die es den Leuten ermöglicht, sich an anderen Unternehmen zu orientieren, um herauszufinden, welche Gruppe sie im Service haben. Technisch gesehen ist dies jedoch keine Sicherheitsanfälligkeit, da Slack das Problem seit mindestens August kennt und es sogar als Feature bezeichnet hat.

Als Twitter-Designer Paul Stamatiou am 15. August auf das Problem aufmerksam machte, antwortete Slacks offizieller Twitter-Account mit dieser Erklärung (zusammengefasst aus mehreren Tweets):

Das ist richtig. Es ist ein Kompromiss zwischen Benutzerfreundlichkeit und der Geheimhaltung der Teamnamen, da jedes Team über eigene Konten verfügt. Mit dem aktuellen Design erleichtern wir es den Leuten, das Team auszuwählen, bei dem sie sich anmelden möchten. In der Mitte der Überholung des Auth-Systems werden jedoch SSO- und 2-Faktor-Auth unterstützt, wodurch diese Funktion vollständig entfernt wird (mobile Releases usw. erforderlich sind.) Weitere Informationen zu Sicherheit und Datenschutz unter http://slack.com/security & + http://slack.com/privacy

Als ich mich mit Slack wegen des Problems in Verbindung setzte, antwortete der Gründer Stewart Butterfield, dass das Feature „nicht mehr lange da sein wird“. Das Aufdecken von Teamnamen ist zwar ein Feature, aber es ist ein schlecht konzipiertes mit besorgniserregenden Auswirkungen auf den Datenschutz.

Die gute Nachricht ist, dass die Funktion / Schwachstelle scheinbar keinen großen Schaden angerichtet hat, da die Teamnamen der meisten Unternehmen ziemlich harmlos sind. Valleywag spekulierte jedoch über eine mögliche Google-Übernahme, nachdem auf der Slack-Seite des Unternehmens eine „Tribe Wearables“ -Gruppe entdeckt wurde. Wenn Ihr Unternehmen Slack verwendet, sollten Sie sich für die streng geheimen Projekte an den Codenamen halten, während Sie warten, bis Slack das Authentifizierungssystem vollständig umgestaltet hat.

UPDATE: Slack hat gerade einen Beitrag zu den aktuellen Nachrichten in seinem Blog hinzugefügt. In der Post gibt das Unternehmen an, dass es "Datenschutz und Sicherheit sehr ernst nimmt". Es stellt fest, dass der Teamleiter diese Funktion aktiviert haben muss, damit Teams per E-Mail-Domäne sichtbar sind, während das Team erstellt wird und die Sichtbarkeit eines Teams kann jederzeit ausgeschaltet werden.

Er bekräftigte seine früheren Aussagen, dass sich der Teamprozess derzeit in der Endphase der Neugestaltung befindet. Währenddessen wird Slack die Sprache der Einstellung aktualisieren:

In der Zwischenzeit klären wir unsere Sprache zu dieser Einstellung, so dass Teambesitzer und -administratoren sehr klar erkennen können, dass Teamnamen auf diese Weise auffindbar sind und unseren Benutzern mitteilen, wie sie diese Einstellung oder einen ihrer Teamnamen ändern können.

Wenn Sie ein Team haben, das die Außenwelt nicht sehen soll, können Sie in der Zwischenzeit die Sichtbarkeitseinstellungen ändern.

menu
menu